ISMS

© Христо Тужаров,  

април 2009

 

СИСТЕМА ЗА УПРАВЛЕНИЕ СИГУРНОСТТА НА ИНФОРМАЦИЯТА

information security management system  ISMS

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

СИСТЕМА ЗА УПРАВЛЕНИЕ СИГУРНОСТТА НА ИНФОРМАЦИЯТА

СИСТЕМЕН ПОДХОД

ПИРАМИДАЛЕН ISMS МОДЕЛ

МИСИЯ НА ISMS

ПОТРЕБИТЕЛИ НА ISMS

 

ХАКЕРИ И КРАКЕРИ

ФУНКЦИИ НА ISMS

 

КОМПОНЕНТЕН МОДЕЛ НА ISMS

ЖИЗНЕН ЦИКЪЛ НА  ISMS

СПИРАЛЕН МОДЕЛ  

 

Система за управление сигурността на информацията СУСИ (information security management system  ISMS)

Информационната сигурност се осъществява от специализирана подсистема в рамките на конкретна информационна система. За нея важат всички условия и изисквания, които характеризират една информационна система. 

Информационна система - система, предназначена за съхраняване, предаване и обработка на данни, с цел получаване на необходима за потребителя информация.

 

Система за управление сигурността на информацията СУСИ

 

СУСИ (information security management system  ISMS] – част от общата система за управление, базирана на процесния и системен подходи, с цел създаване, внедряване, експлоатация, постоянно контролиране, анализиране, поддържане в работно състояние и подобряване на защитата на информацията.

        СУСИ (ISMS) е документирана система за управление в рамките на организацията, която включва:

  • Утвърдена от ръководството политика за информационна сигурност;

  • Изяснени понятия за информационна сигурност, цели и задачи на СУСИ, участие на ръководството и т.н.

  • План за оценка на рисковете за сигурността;

  • Описан порядък за оценка и анализ на риска;

  • Списък на информационните активи, попадащи в областта на функциониране на СУСИ;

  • Ръководство за приложимост на контролите (Statement of Applicability)

  • Набор от контрамерки насочени към минимизиране на риска за информационната сигурност;

  • Набор от взаимосвързани процедури, политики, регламенти и инструкции, насочени към формализиране на процеса по защита на информацията.

         СУСИ (ISMS) осигурява:

  • Успешно ръководство по осигуряване на информационна сигурност чрез организация на нейното функциониране и прозрачност;

  • Постоянно подобряване на дейността по осигуряване на информационната сигурност с отчитане интересите на заинтересованите страни;

  • Получаване на увереност, че съвременните изисквания към информационната сигурност ще бъдат изпълнени, чрез спазване на съответните стандарти (ISO/IEC 27001, IS0/IЕС 17799);

  • Формиране на единен подход към достигнатото ниво по осигуряване на информационната сигурност.

Необходимост от обратна връзка за управление на СУСИ (ISMS)

 

Необходимост от обратна връзка за управление на СУСИ (ISMS)

 

Събития в СУСИ [information security event]

Откриване прецедент в системата, услугата или състоянието на мрежата, указващ за възможно нарушение на политиката на сигурност или на дотогава неизвества ситуация, която може да има значение за сигурността на информацията. [ISO /IEC TR 18044:2004]

            Инцидент в СУСИ [information security incident]

Едно или серия нежелателни или неочаквани събития в СУСИ, които имат голям шанс да компроментират деловите операции и поставят под заплаха информационната сигурност.[ISO/IEC TR 18044:2004]

Видове системи СУСИ (ISMS)

        Защитена информационна система

Частично защитена информационна система - предвижда защита само от някои основни класове заплахи.  

Подходи за изграждане на СУСИ (ISMS)

 

 Фрагментен подход за изграждане на СУСИ

Защитата се организира стъпка по стъпка.

Пример: Незащитена ОС + антивирусен пакет + система за шифриране + система за регистрация действията на потребителите

           Недостатъци:

  • Разнородни програмни продукти, които трудно взаимодействат един с друг;

  • Възможност за несъвместимост на отделни елементи;

  • Невъзможност за блокиране работата на системата при неработоспособност на някой от продуктите;

       Комплексен подход за изграждане на СУСИ

Защитните функции се внедряват едновременно и се явяват неразделна част на информационната система. СУСИ се явява подсистема на информационната система и включва комплекс от организационни, физически, организационно-технически и  юридически мерки. 

             Предимства:

  • Взаимодействие на отделните елементи на системата при решаване на различни задачи.

  • Липса на конфликти между елементите на системата, тъй като се разработват и тестват в съвкупност.

  • Блокиране работата на системата при разрушаване на някой от градивните и елементи - не позволява на нарушителя да изключи защитните функции на системата.